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Integriertes Mikroprozessor system fur sicherheitskritische 
Regelungen 

Die Erfindung betrifft eine integrierte Schaltungsanordnung 
gemafi Anspruch 1 sowie dessen Verwendung in elektronischen 
Bremssystemen fur Kraf tf ahrzeuge oder in elektronischen 
Steuerungen zur Regelung der Fahrdynamik von Kraf tf ahrzeugen 
oder zur Steuerung von elektronisch gesteuerten Feststell- 
bremsen oder zur Steuerung von Fahrzeugruckhaltesystemen, 
wie beispielsweise Airbagsteuerungen. 

Mikroprozessorsysteme fiir sicherheitskritische Regelungen 
sind beispielsweise aus der DE 197 16 197 Al bekannt. Die 
dort offenbarten Mikroprozessorsysteme weisen eine redundan- 
te Datenverarbeitung auf, urn fiir sicherheitskritische Anwen- 
dungen, wie ABS- oder ESP-Steuergerate geeignet zu sein. Zur 
Herstellung von Redundanz enthalt das Mikroprozessorsystem 
duplizierte Funktionsgruppen auf, welche jeweils Zen- 
traleinheiten (CPU's), Busssysteme und weitere Funktions- 
gruppen, wie Speicher und Eingabe-/Ausgabekomponenten (I/O) 
umfassen. Durch spezielle Vergleicher und Byp&sse, welche 
Vergleiche der Daten der Ausgangsdaten oder Ausgangssignale 
der Zentraleinheiten durchfuhren, lasst sich die ordnungsge- 
mal5e Funktion der Funktionsgruppen tiberprufen. 

Zu den sicherheitskritischen Regelungen gemaB der Erfindung 
zahlen u,a. die in die Bremsenfunktion eines Kraf tf ahrzeugs 
eingreifenden Regelungssysteme, die in grofier Anzahl und 
grofier Vielfalt auf dem Markt sind. Beispiele hierfiir sind 
die Antiblockiersysteme (ABS) , Antriebsschlupf regelungssys- 
teme (ASR), Fahrstabilitatsregelungen (ESP, TCS, FDR, ASMS), 
Fahrwerksregelungssysteme, aber auch Steuergerate fur Fest- 
stellbremsen und Ruckhaltesysteme etc. Zum Beispiel wurde 
ein Ausfall eines ESP-Regelungssystems zu einer Gefahrdung 
dex Fahrstabilitat des Fabrzeugs ftihren. Deshalb wird die 
Funktionsfahigkeit der Systeme standig iiberwacht, urn beim 
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Auftreten eines Fehlers die Regelung abschalten ("fault si- 
lent") oder in einen fur die Sicherheit weniger gefahrlichen 
Zustand umschalten ("fault tolerant") zu konnen. 

Die Uberwachung *der ordnungsgemafien Funktion von integrier- 
ten Schaltkreisen ist bei einer Anwendung in Bremssysteme 
bzw. Kraf tfahrzeug-Regelungssystemen, bei denen bei Ausfall 
der Elektronik keine Umschaltung auf ein mechanisches oder 
hydraulisches System moglich ist, noch um einiges wichtiger. 
Hierzu zahlen aktuelle Bremssystemkonzepte, wie "brake-by- 
wire"; die Brems en funktion ist bei solchen Systemen auf ei- 
nen intakten elektronischen Schaltkreis angewiesen, so dass 
fiir diese Bremssysteme die mit einem f ehlertoleranten Redun- 
danzkonzept ("fault tolerant") ausgelegten Mikroprozessor- 
systeme von besonderer Bedeutung sind. 

Ein weiteres Beispiel fiir eine Schaltungsanordnung oder ein 
Mikroprozessorsystem zur Steuerung und Uberwachung einer 
blockiergeschutzten Fahrzeugbremsanlage ist aus der DE 32 34 
637 C2 bekannt, Nach dieser Schrift werden die Eingangsdaten 
zweier identisch programmierter Mikrocomputer parallel zuge- 
fiihrt und dort synchron verarbeitet. Die Ausgangssignale und 
Zwischensignale der beiden Mikrocomputern werden mit Hilfe 
von redundanten Vergleichern auf Obereinstimmung gepriift. 
Wenn die Signale voneinander abweichen, wird liber eine eben- 
falls redundant ausgelegte Schaltung eine Abschaltung der 
Regelung herbeigefiihrt . Bei dieser bekannten Schaltung dient 
einer der beiden Mikrocomputer zur Erzeugung der Brems- 
drucksteuersignale, der andere zur Bildung der Priif signale, 
Bei diesem symmetrisch aufgebauten Mikroprozessorsystem sind 
also zwei vollstandige Mikrocomputer, einschlieJilich der 
zugehorigen Festwert- und Schreib-Lese-Speicher, erforder- 
lich. 
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Nach einem anderen bekannten System, nach dem die in der DE 
41 37 124 Al beschriebene Schaltung aufgebaut ist, werden 
die Eingangsdaten ebenfalls zwei Mikrocomputern parallel 
zugefiihrt, von denen jedoch nur einer die vollstandige, auf- 
wendige Signalverarbeitung ausftihrt. Der zweite Mikro- 
computer dient vornehmlich zur Oberwachung, weshalb die Ein- 
gangssignale nach Aufbereitung, Bildung von zeitlichen Ab- 
leitungen etc. mit Hilfe vereinf achter Regelalgorithmen und 
vereinf achter Regelphilosophie weiterverarbeitet werden kon- 
nen. Die vereinf achte Datenverarbeitung reicht zur Erzeugung 
von Signalen aus, die durch Vergleich mit den in dem aufwen- 
digeren Mikrocomputer verarbeiteten Signalen Riickschlusse 
auf den ordnungsgemafien Betrieb des Systems zulassen. Durch 
die Verwendung eines Priif -Mikrocomputers geringerer Leis- 
tungsf ahigkeit lasst sich der Herstellungsaufwand im Ver- 
gleich zu einem System mit zwei vollstandigen, aufwendigen 
Mikrocomputern gleicher Leistung reduzieren. 

Aus der DE 43 41 082 Al ist bereits ein Mikroprozessorsystem 
bekannt, das insbesondere fur das Regelsystem einer blo- 
ckiergeschiitzten Bremsanlage vorgesehen ist. Dieses bekannte 
System, das auf einem einzigen Chip untergebracht werden 
kann, enthalt zwei Zentraleinheiten, in denen die Eingangs- 
daten parallel verarbeitet werden. Die Festwert- und die 
Schreib-Lese-Speicher, die an die beiden Zentraleinheiten 
angeschlossen sind, enthalten zusatzliche Speicherplatze fur 
Priif inf ormationen und umfassen jeweils einen Generator zur 
Erzeugung von Pruf inf ormationen. Die Ausgangssignale eines 
der beiden Zentraleinheiten werden zur Erzeugung der Steuer- 
signale weiterverarbeitet , wahrend die andere als passive 
Zentraleinheit lediglich zur tJberwachung der aktiven Zent- 
raleinheit dient. 
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Bei den vorgenannten, bekannten Systemen wird also grund- 
satzlich die erforderliche Sicherheit durch Redundanz der 
Datenverarbeitung erreicht. Im ersten Fall (DE 32 34 637 C2) 
basiert das System auf der Verwendung von zwei Prozessoren 
rait identischer Software, was in Fachkreisen als symmetri- 
sche Redundanz bezeichnet wird. Im zweiten Fall (DE 41 37 
124 Al) werden zwei Prozessoren mit unterschiedlicher Soft- 
ware verwendet (sog. asymrnetrische Redundanz) . Grundsatzlich 
ist es auch moglich, einen einzigen Prozessor zu verwerten, 
der auf Basis unterschiedlicher Algorithmen die Eingangsda- 
ten verarbeitet f wobei dann zusatzliche Uberprufungs- 
algorithmen zum Feststellen eines fehlerfreien Arbeitens 
Anwendung f inden . 

Schliefilich ist aus der DE 195 29 434 Al (P7959) bereits ein 
System der eingangs genannten Art bekannt, das auch als Sys- 
tem mit Kernredundanz bezeichnet wird, Bei diesem bekannten 
Mikroprozessor system sind zwei synchron betriebene Zentral- 
einheiten auf einem oder auf mehreren Chips vorgesehen, die 
die gleichen Eingangsinf ormationen erhalten und das gleiche 
Programm abarbeiten. Die beiden Zentraleinheiten sind dabei 
uber separate Bus-Systeme an die Festwert- und an die 
Schreib-Lese-Speicher sowie an Eingabe- und Ausgabeeinheiten 
angeschlossen. Die Bus-Systeme sind untereinander durch 
Treiberstuf en bzw. Bypasse verbunden sind, die den beiden 
Zentraleinheiten ein gemeinsames Lesen und Abarbeiten der 
zur Verfiigung stehenden Daten, einschlieJilich der Prufdaten 
und Befehle errnoglichen. Das System einmoglicht eine Einspa- 
rung von Speicherplatz . Nur eine der beiden Zentraleinheiten 
ist (direkt) mit einem vollwertigen Festwert- und einem 
Schreib-Lese-Speicher verbunden, wahrend die Speicherkapazi- 
tat des zweiten Prozessors auf Speicherplatze fur Prufdaten 
(Pari tat suberwachung) in Verbindung mit einem Pruf datengene- 
rator beschrankt ist. Zugriff zu alien Daten besteht iiber 
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die Bypasse. Dadurch sind beide Zentraleinheiten in der La- 
ge, jeweils das vollstandige Programm abzuarbeiten . 

Die vorstehend beschriebenen hochintegrierten und komplexen 
sicherheitskritischen Mikroprozessorsysteme wurden bisher 
nicht mit den zur Ansteuerung von energiezehrenden Verbrau- 
chern, wie Ventilspulen zur hydraulischen Bremsdruckrege- 
lung, aktiven Bauelementen auf einem gemeinsarnen Chip oder 
Chiptrager zusainmengef asst . Aus diesem Grund war es bisher 
notwendig, in den elektronischen Reglern *fur elektronische 
Bremssysteme mehrere integrierte Schaltkreise (z.B. IC s 
bzw. separat gehauste Chips) auf einem oder mehreren Leiter- 
bahntragern unterzubringen . Nur so konnten sowohl die fur 
die eigentliche elektrohydraulische Funktion (z.B. Aktuato- 
ransteuerung, redundante Endstufen, Treiber) , als auch die 
fur den Betrieb des Mikroprozessors notwendigen Failsafe- 
Baugruppen realisiert werden. Bei diesem 2-Chip-System ent- 
halt der erste Chip das redundante Mikrokoprozessorsystem 
und der zweite Chip umfasst sowohl digitale als auch analoge 
Schaltungsteile (mixed signal) mit Baugruppen zur Signalauf- 
bereitung (signal conditioning) , Aktuatoransteuerung und fur 
die Behandlung der Failsaf e-Funktionalitat (z.B. Watchdog). 

Die vorliegende Erfindung setzt sich zum Ziel, eine integ- 
rierte Schaltungsanordnung zur Verfugung zu stellen, die 
einerseits die bislang getrennten Schaltkreise auf einem 
gemeinsarnen Chip oder Chiptrager zusammenf asst und gleich- 
zeitig in der Lage ist, bei praktisch jedera auftretenden 
Einzelfehler eine Erkennung dieses Fehlers zuverlassig zu 
ermoglichen . 

Diese Aufgabe wird erfindungsgema.fi durch die integrierte 
Schaltungsanordnung gemafi Anspruch 1 gelost. 
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Der Erfindung liegt somit der Gedanke zugrunde, ein soge- 
nanntes "Single Chip EBS System" zu schaffen, also bei- 
spielsweise eine Schaltungsanordnung fur ein elektronisches 
Bremssystem, welche lediglich einen, gegen Fehler und aufiere 
Storeinfliisse intern abgesicherten, f ehlerredundanten, hoch- 
integrierten Schaltkreis aufweist. Die erf indungsgemafie 
Schaltungsanordnung ist deshalb praktisch vollstandig auf 
einern Stuck eines Halbleitersubstrats (z.B. Silizium) reali- 
sierbar. Hierdurch lasst sich die sonst vielfach tibliche 
Trennung von Leistungselektronik und hochintegrierten 
Schaltkreisen vermeiden. 

Durch die in Anspruch 6 bevorzugte Ausf iihrungsf orm wird mit 
Hilfe der gemafi Anspruch 1 vorgeschlagenen Integration der 
bislang getrennten integrierten Schaltkreise eine uberaus 
hohe Koraplexitat bei der Fehlererkennung und der Fehlertole- 
ranz rnoglich. Bei Erkennung eines entsprechenden Fehlers 
wird vorzugsweise entweder in eine sogenannte sichere Rlick- 
fallebene zuriickgeschaltet oder auf eine andere, funktions- 
tuchtige Funktionsgruppe mit gleicher Funktion umgeschaltet 
oder die betreffende Funktionsgruppe stillgelegt (fault si- 
lent) . Beispielsweise sind in der Riickf allebene noch be- 
stimmte Sof tware-Teilfunktionen des EBS auch in dem redu- 
zierten Funktion sumf ang durchfiihrbar, jedoch sind andere 
Sof tware-Funktionen je nach Tiefe der Riickf allebene nach und 
nach nicht mehr durchf iihrbar . Die Schaltung weist insbeson- 
dere mehrere solcher Riickf allebenen auf, z.B. in der Reihen- 
folge ESP, ASR, ABS, wobei von links nach rechts die Anzahl 
der funktionstiichtigen Schaltungselemente a±>nimmt. 

Vorzugsweise werden zur weiteren Erhohung der Sicherheit in 
den Gebieten zwischen den einzelnen getrennt deaktivierbaren 
Funktionsgruppen der integrierten Schaltungsanordnung 
Schutzzonen ausgebildet. Beispielsweise kann eine entspre- 



WO 2005/036285 



PCT/EP2004/052477 



- 7 - 

chende Schutzzone ein Gebiet der integrierten Schaltungsan- 
ordnung sein, welches vorzugsweise sehr hochohmig im Ver- 
gleich zur Umgebung ist und als Isolation gegen Totalausfal- 
le der verschiedenen Funktionsgruppen (ICs) auf dem Chip 
verwendet wird. Auf diese Weise ist es moglich, Fehler wie 
Uberspannung, elektrostatische Spannungen (ESD) , Uberlas- 
tung, in einer Funktionsgruppe begrenzt zu halten, so dass 
die durch den Fehler hervorgeruf enen Schaden nicht zu einer 
Beschadigung der in Nachbarschaf t zu der beschadigten Funk- 
tionsgruppe liegenden Funktionsgruppen fiihren. Hierdurch 
kann erst ein sicheres Umschalten in den sicheren Modus 
durch den jeweils anderen noch f unktionsf ahigen Teil gewahr 
leistet werden. 

Die Schutzzonen werden bevorzugt als Guard-Ringe oder Tren- 
ches (beispielsweise Deep-Trenches) ausgebildet. Auch eine 
Kombination dieser beiden Isolationsmethoden kann fur beson 
dere Falle zweckmafiig sein. 

Die integrierte Schaltungsanordnung gemafi der Erfindung de- 
finiert einen Mikrokontroller, welcher praktisch alle not- 
wendigen Analogschaltkreise umfasst, so dass sich diese bis 
lang getrennten Funktionseinheiten auf einera gemeinsamen 
Chip oder Chiptrager befinden. Der eingesetzte Chip oder 
Chiptrager besteht bevorzugt im wesentlichen aus eineni Halb 
leitermaterial, wie z.B. Silizium oder Germanium. 

Das Layout der erf indungsgemaiien Schaltung wird bevorzugt s 
hergestellt, dass moglichst wenige leitende Verbindungen 
zwischen den einzelnen Funktionsgruppen und eine moglichst 
geringe Zahl von Leitungsuberschneidungen vorhanden sind. 
Auf diese Weise werden auch die sonst in hoher Zahl notwen- 
digen ggf • vorhandenen Puf f erstrukturen vermindert. Urn dies 
zu erreichen, ist es besonders zweckmaBig, eine verbesserte 
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Routingmethode anzuwenden, wie sie in der Patentanmeldung 
PCT/EP0200416 beschrieben 1st. Das in dieser Patentanmeldung 
beschriebene Verfahren, welches bevorzugt zur Herstellung 
der erfindungsgemaBen integrierten Schaltungsanordnung ein- 
gesetzt wird, fiihrt eine Erstellung eines Layouts raittels 
eines automatisierten Verfahrens durch, bei dem mindestens 
zwei logisch getrennte Teilsysterae (Funktionsgruppen) vorge- 
sehen sind, und neben der logischen Trennung zusatzlich eine 
raumliche (physikalische) Trennung der Teilsysteme auf der 
zur Verfugung stehenden Flache der Schaltungsanordnung vor- 
genommen wird . 

Die auf dem gemeinsamen Chip oder Chiptrager angeordneten, 
paarweise oder mehrfach vorhandenen Funktionsgruppen, wie 
Uberwachungsschaltungen, Spannungsuberwachungen, Watchdog 
etc., sind bevorzugt elektrisch so miteinander und/oder mit 
einem Aktuator verbunden, dass jeweils der Ausfall einer 
Funktionsgruppe durch die zum Paar gehorende andere Funkti- 
onsgruppe und/oder durch ein an beide zum Paar gehorenden 
Funktionsgruppen angeschlossenes Bauelement (z.B. Aktua- 
tortreiber) bemerkt wird. Auf diese Weise kann, z.B. wenn 
eine Storung in den Leitungsverbindungen der beiden Schal- 
tungen vorliegt, der entsprechende Aktuatortreiber abge- 
schaltet werden. 

Mit der Erfindung wird somit vorteilhaf terweise eine Redu- 
zierung der Bauteilanzahl erreicht f wodurch sich neben ge- 
ringeren Kosten vor allem eine verbesserte Ausfallrate und 
Zuverlassigkeit ergibt. 

Weitere bevorzugte Ausfuhrungsformen ergeben sich aus den 
Unteranspruchen, der nachfolgenden Beschreibung der Figuren. 
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Es zeigen 

Fig. 1 eine Schaltungsanordnung einer Regelelektronik 
nach dem Stand der Technik, 

Fig. 2 eine Schaltungsanordnung fur ein beispielgemalies 
Mi krorechner system, 

Fig. 3 scheraatische Darstellungen eines Beispiels zur 

Realisierung von Leitungsdurchfuhrungen zwischen 
getrennten Funktionsblocken in der Schaltungsan- 
ordnung gemafi Fig. 2 und 

Fig. 4 eine schematische Darstellung eines Beispiels fur 
die Ausfuhrung der Schaltungsanordnung im Bereich 
eines Ventiltreibers (MD) . 

Die Schaltungsanordnung in Fig. 1 umfasst alle notwendigen 
Funktionsgruppen eines sicherheitsoptimierten, an sich be- 
kannten, und vielfach in heutigen Kraftf ahrzeugen eingesetz- 
ten universellen ABS-, ASR- und ESP-Steuergerats . Die ge- 
strichelten Linien stehen fur voneinander abgetrennte Berei- 
che l f 2 und 5. Diese symbolisieren drei voneinander ge- 
trennte, separat eingehauste integrierte Schaltkreise 
(Chips) , welche auf einem nicht dargestellten gemeinsamen 
Leiterbahntrager angeordnet sind. 

Die fur den Betrieb notwendigen Funktionsgruppen sind unter 
anderem ein integriertes Mikroprozessorsystem 1, welches in 
einem ersten Chip angeordnet ist, eine integrierte Leis- 
tungselektronik 2, welche in einem zweiten Chip angeordnet 
ist, und eine Sicherheitsschaltung 5. Mikroprozessorsystem 1 
umfasst im wesentlichen einen ersten Mikroprozessor 3 und 
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einen zweiter Mikroprozessor 4. Neben Chip 1 ist Failsafe- 
Modul 7 zur Uberwachung der Chips 1 und 2 vorgesehen. 

In Chip 2 sind die Endstufentreiber 11 zur Ansteuerung der 
Magnetventile 6 zusammengef asst . Ferner umfasst die Schal- 
tungsanordnung eingangsseitig einen A/D-Wandler 8, eine Sen- 
sor signalaufbereitungseinheit 31, die rait Raddrehzahlsensor- 
eingang 9 und Raddrehzahlsensoren 20 verbunden ist. Weiter- 
hin sind dort Oszillatoren 10, 10% Relais 12 zum Schalten 
von Pumpenmotor 13, Warnlampentreiber 15 zur Ansteuerung von 
Warnlampen 14, CAN-Treiber 16, SPI-Treiber 17, EE PROM 18, 
Eingabe-/Ausgabe-Ports 19, Spannungsregler 21, sowie redun- 
dante elektronische Schaltelemente 2 6 zur Abschaltung der 
Ventilspulen 26 (MD) zusammengef asst . 

In Fig. 2 ist ein Beispiel fur einen Mikrokontroller 23 
gemafi der Erfindung dargestellt, welches die Besonderheit 
aufweist, dass alle Funktionsgruppen fiir ein Fahrdynamikre- 
gelungs system (fur ABS, ESP etc.) auf einem gemeinsamen Si- 
liziunichip 23 als sogenanntes "single chip"-System angeord- 
net sind. Bei den Funktionsgruppen handelt es sich im Prin- 
zip immer urn eigenstandige integrierte Schaltungen. Mikro- 
kontroller 23 umfasst ein redundantes Mikroprozessorsystem 1 
mit einem ersten Mikrorechner 22 und zweiten Mikrorechner 
23, welche, je nach dem vorhandenen Redundanzkonzept (Kern- 
redundanz, symmetrische Redundanz, asymmetrische Redundanz) , 
uber einen nichtgezeichneten seriellen oder parallelen Da- 
tenbus miteinander verbunden sind. Uber diesen Datenbus kon- 
nen die Mikrorechner Daten zur Uberprufung deren korrekten 
Funktion austauschen bzw. sich gegenseitig bei einer Fehl- 
funktionen aktivieren bzw. sich oder das ganze System ab- 
schalten. 
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Mikrokont roller 2 umfasst weiterhin die Funktionsgruppen 
A/D-Wandler 8, Ventiltreiber (PWM oder Digital) 11, 
allgemeine Signalverarbeitungseinheit 31 fur Sensoren (ins- 
besondere Rad-, und/oder Drucksensoren) r Warnlampentreiber 
15 f Spannungsversorgung 21, Sicherheitsschaltung 5, 5', 1, 
T , 27, wie zum Beispiel Watchdog bzw. Funktionsgruppen zur 
Spannungsuberwachung der auJieren Betriebsspannungen (FMon) , 
redundante Spannungsref erenzen 32 , 32' (z.B. Bandgap- 
Referenzen) , Ansteuerlogik 33 fur die Leistungstreiberstu- 
fen. 

Die im vorstehenden Absatz boschriebeaen Funktionsgruppen, 
welche in den Figuren 3 a) und b) noch einmal am Beispiel 
von zwei Funktionsgruppen vergroiiert dargestellt sind, sind 
durch Isolationszonen 24, zum Beispiel Guardringe oder Tren- 
ches (Graben) , voneinander so isoliert, dass defekte Schal- 
tungsteile keinen Einfluss auf benachbarte Funktionsblocke 
haben. Aufierdem sind die Funktionsgruppen auf dem Chip be- 
vorzugt so angeordnet, dass redundante Funktionen physika- 
lisch (raumlich und/oder elektrisch) auf dem Chip moglichst 
weit voneinander getrennt sind. Hierdurch kann eine Wechsel- 
wirkung der baugleichen Gruppen auf Grund einer Funktions- 
storung -wie etwa durch thermische Uberlastung oder ESD- 
Einwirkung verursacht- verhindert werden. 

In Fig- 3 sind in einer Prinzipdarstellung zwei elektrisch 
raiteinander verbundene Funktionsgruppen 25 und 25' gezeich- 
net, welche durch Isolationszonen 24 voneinander isoliert 
sind. Die elektrischen Leitungen 30 verbinden die Funktions- 
blocke miteinander und sind dazu wie Brucken uber die Isola- 
tionszonen 24 hinweggef uhrt . Urn Sicherheitsnachteile auf- 
grund von Leitungsverbindung zu vermeiden, ist eine zusatz- 
liche elektrische Trennung der Funktionsgruppen vorgesehen. 
Deshalb sind Leitungen 30 so ausgefuhrt, dass bei einera Feh- 
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ler von Funktionsgruppe 25 keine Riickwirkung auf die Funkti- 
onsgruppe 25' bzw. umgekehrt moglich 1st. Hierzu sind in die 
Leitungen unidirektionale Puffer 28 , 28' (Fig. 3a) oder ESD- 
Schutzstrukturen 29, 29' (Fig. 3b) eingefugt. 

In Fig. 4 ist der Bereich der Chipflache 23 dargestellt, auf 
dem sich die in Fig. 2 erwahnten Uberwachungsschaltungen 5 
und 5' (FMon zur Uberwachung der Betriebsspannung) befinden. 
Entsprechend dem Beispiel in Fig. 3b) ist eine Leitung 38 
vorgesehen, welche liber Schutzstruktur 2 4 fuhrt und einen 
Puffer 28 enthalt. Uberwachungsschaltung 5 ist uber Leitung 
37 mit UND-Gatter 34 verbundon. Entsprechend ist die redun- 
dant e Uberwachungsschaltung 5' uber Leitung 38 mit UND- 
Gatter 34 verbunden. Ein weiterer Eingang des UND-Gatters 
ist mit Treiberansteuerelektronik 35 zur Ansteuerung des 
Hauttreibers 26 (MD) verbunden. 

Tritt beispielsweise eine Storung in den Leitungsverbindun- 
gen der beiden Schaltungen 5 und 5' auf, wird die Signallei- 
tung 36 bei Ansteuerung des Haupttreibers 26 durch Haupt- 
treiberansteuerung 35 nicht mit einem elektrischen Signal 
beaufschlagt- An Leitung 36 liegt nur dann ein Signal an, 
wenn alle Eingange des UND-Gatters mit einem Signal beauf- 
schlagt sind- Ein Ausfall einer Uberwachungsschaltung 5 oder 
5' bzw. ein durch diese Schaltung f estgestellter Fehler 
fuhrt somit zur Sperrung des Haupttreibers 26 und damit zur 
Abschaltung des Ventils 6. 
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Paten tanspriiche 

1. Integrierte Schaltungsanordnung fiir sicherheitskritische 
Anwendungen, insbesondere fiir Steuerungs- und Regelauf- 
gaben in einem elektronischen Kraftf ahrzeugbrems system, 
umfassend mehrere elektronische, zusammenwirkende Funk- 
tionsgruppen (25, 25') , wobei elektrischen Leitungen 
(30) vorhanden sind, die die Funktionsgruppen (25, 25') 
miteinander verbinden, gekennzeichnet durch 
Funktionsgruppen erster Art und zweiter Art, wobei die 
Funktionsgruppen der erstcn Art zumindest die Funktions- 
gruppe redundantes Mikroprozessorsys tem (1) und insbe- 
sondere die Funktions gruppe Ein-/Ausgabeeinrichtungen 
(19) umfassen, und die Funktionsgruppen zweiter Art zu- 
mindest die Funktionsgruppen Aktuatortreiber (11, 15, 
24, 35) und Sicherheitsschaltkreise (5, 5', 7, 7') um- 
fassen, und wobei die Funktionsgruppen erster Art und 
zweiter Art auf einem gemeinsam Chip oder Chiptrager 
(23) vereint sind. 

2. Schaltungsanordnung nach Anspruch 1, dadurch gekenn- 
zeichnet, dass das redundante Mikroprozessorsystem ein 
kernredundantes Mikrokontroller-System oder ein Mikro- 
kontroller-System mit symmetrischer Redundanz oder ein 
Mikrokontroller-System mit asymmetrischer Redundanz ist. 

3. Schaltungsanordnung nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, dass die Funktionsgruppen zumindest teil- 
weise oder bevorzugt sogar iiberwiegend durch isolierte 
Bereiche, insbesondere dotierte Guard-Ringe und/oder 
eingeatzte Barrieren, wie bed spielsweise Trenches oder 
Deep-Trenches, voneinander geschiitzt sind. 
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4. Schaltungsanordnung nach mindestens einem der Anspriiche 
1 bis 3/ dadurch gekennzeichnet, dass die elektrischen 
Leitungen (30) , die von einer ersten Funktionsgruppe 
(25) zu einer zweiten Funktionsgruppe (25') fiihren, mit- 
tels Pufferelement/-en (28) und/oder ESD- 
Schutzstrukturen (29, 29') vor f ehlererzeugenden Ereig- 
nissen der Nachbarf unktionsgruppe/-n und/oder vor feh- 
lererzeugenden aufleren Einfliissen geschtitzt sind. 

5. Schaltungsanordnung nach Anspruch 3 oder 4, dadurch ge- 
kennzeichnet, dass die elekLrischen Leitungen au£ min- 
destens einer oder jeder einer Funktionsgruppe zugewand- 
ten Seite eines isolierten Bereichs ein Puf ferelement 
und/oder eine ESD-Schutzstruktur aufweisen. 



6. Schaltungsanordnung nach mindestens einem der Anspriiche 
1 bis 5, dadurch gekennzeichnet, dass das Mikroprozes- 
sorsystem, die Funktionsgruppen erster Art, welche ins- 
besondere im wesentlichen digitale Schaltungskomponenten 
umfassen, und die Funktionsgruppen zweiter Art, welche 
im wesentlichen analoge Schaltungskomponenten zur An- 
steuerung von leistungsf ahigen Verbrauchern und insbe- 
sondere die Sicherheitsschaltkreise so miteinander ver- 
netzt, dass eine individuelle Sicherheitsuberwachung der 
einzelnen Funktionsgruppen ermoglicht wird. 

7 . Schaltungsanordnung nach mindestens eine der Anspriiche 1 
bis 6, dadurch gekennzeichnet, dass ein Teil der Funkti- 
onsgruppen zwei oder mehrfach redundant ausgefiihrt ist 
(5, 5') und bei einer Fehlfunktion der redundant ausge- 
fiihrten Funktionsgruppe (5) eine andere, gleichartige 
Funktionsgruppe (5') die Funktion der fehlerhaften Funk- 
tionsgruppe ubernimmt, wobei zu diesem Zweck Signallei- 
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tungen (37, 38) und Logikkomponenten (34) vorgesehen 
sind, welche entweder ein Abschalten der fehlerhaften 
Funktion bewirken (fault silent) oder welche ein Um- 
schalten der Funktion auf die fehlerfrei funktionierende 
Funktionsgruppe (5') gewahrleisten (fault tolerant). 

8. Verwendung der Schaltungsanordnung gemafi den Anspruchen 
1 bis 7 in elektronischen Bremssystemen fur Kraftfahr- 
zeuge oder in elektronischen Steuerungen zur Regelung 
der Fahrdynamik von Kraf tf ahrzeugen oder zur Steuerung 
von elektronisch gesteuerten Feststellbremsen oder zur 
Steuerung von Fahrzeugruckhaltesystemen, wie beispiels- 
weise Airbagsteuerungen . 
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